举一反三 ,通过 Sharp4SuoPoc 从原理上复现 Visual Studio 投毒事件的来龙去脉 原创 专攻.NET安全的 dotNet安全矩阵 2025-01-20 00:23 在近期的网络安全事件中,一款提权工具被发现植入了后门,攻击者利用 Visual S tudio 项目的 .suo 文件作为隐蔽的攻击媒介。由于 .suo 文件通 常是隐藏的配置文件,且安全研究人员对其内容关注较少
继续阅读$40,000的RCE! 迪哥讲事 2025-01-19 20:35 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 前言 本文将向各位讲一讲国外白帽 I& Orwa Atyat 如何成功将有限的路径遍历升级为 RCE 漏洞 ,从而赢得40,000 美刀赏金的故事。
继续阅读CVE-2024-13025-Codezips 大学管理系统 faculty.php sql 注入分析及拓展 船山信安 2025-01-19 16:01 Codezips 里面有很多cms系统,其中的一个College Management System In PHP With Source Code存在sql注入漏洞。 复现 对源码进行下载登录。 里面有很多远程js加载不出来但是不影响接口使用。
继续阅读【安全圈】CL-UNK-0979 利用 Ivanti Connect Secure 中的零日漏洞获取网络访问权限 安全圈 2025-01-19 11:01 关键词 安全漏洞 Palo Alto Networks 发布了一份详细的威胁简报,介绍了 Ivanti 产品中的两个严重漏洞 CVE-2025-0282 和 CVE-2025-0283。这些漏洞影响 Ivanti 的 Connect Secur
继续阅读记一次CNNVD通用漏洞证书挖掘 craxpro安全实验室 2025-01-19 09:54 一、什么是CNNVD 中国国家信息安全漏洞库(CNNVD,China National Vulnerability Database of Information Security),于2009年10月18日正式成立,是中国信息安全测评中心(中文简称:国测,英文简称:CNITSEC,China Infor
继续阅读【工具分享】Swagger API Exploit 1.2 – 信息泄露利用工具 原创 Mstir 星悦安全 2025-01-19 07:00 点击上方 蓝字 关注我们 并设为 星标 0x01 工具介绍 这是一个 Swagger REST API 信息泄露利用工具。 主要功能有: 遍历所有API接口,自动填充参数 尝试 GET / POST 所有接口,返回 Response Code
继续阅读2025年值得关注的十大漏洞管理工具 苏说安全 2025-01-18 23:01 漏洞扫描工具在现代网络安全框架中必不可少。它们不仅可以帮助组织在漏洞被利用之前识别和修复漏洞,还可以支持合规性工作,加强风险管理实践,并最终有助于建立更强大的整体安全态势。 漏洞管理过程的四个基本步骤 识别漏洞:使用各种漏洞扫描器扫描系统、网络中的设备、数据库、虚拟机、服务器的开放端口和服务,以识别潜在的安全缺陷。
继续阅读$40,000!如何将路径遍历升级为RCE! Z2O安全攻防 2025-01-18 20:31 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 前言 本文将向各位讲一讲国外白帽 I& Orwa Atyat 如何成功将有限的路径遍历升级为 RCE 漏洞 ,从而赢得40,000 美刀
继续阅读【代码审计】WeGIA 存在前台任意文件上传漏洞 (RCE) 原创 Mstir 星悦安全 2025-01-18 11:08 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 WeGIA是一个福利机构管理器,并且具有一下几种功能,并且在3.2.8及之前版本都存在前台任意文件上传漏洞,且都可进行直接上传Phar等文件执行任意命令,反弹Shell等操作: – 人员,用于员工和与会者的注
继续阅读DVWA漏洞靶场通关手册(万字图文解析) 原创 BlankSec 泷羽Sec-Blanks 2025-01-18 10:57 DVWA靶场通关 一、安全等级:Low (一)Brute Force 密码爆破 (二)Command Injection 命令注入 (三)CSRF 跨站脚本伪造 (四)File Inclusion 文件包含 (五)File Upload 文件上传 (六)SQL Inje
继续阅读欢迎报名!“系统0day安全”系列课程:掌握漏洞挖掘重要技能 看雪课程 看雪学苑 2025-01-18 09:59 数字化时代,系统漏洞如同隐形的威胁,潜伏在企业网络的每个角落。0day漏洞的发现与利用,已成为黑客攻击的主要手段,给企业安全带来巨大的威胁和挑战。 我们特别推出了 “系统0day安全”系列课程,本系列课程将深入挖掘企业级网络设备、IOT设备及Windows平台的固件漏洞,培养您掌握
继续阅读关于利用人工智能技术绕过图形类验证机制新型犯罪手法预警通报;|2025年首个满分漏洞,PoC已公布,可部署后门 黑白之道 2025-01-18 09:40 关于利用人工智能技术绕过图形类验证机制新型犯罪手法预警通报; 近期,广西桂林公安网安部门工作发现,桂林市阳朔县某景点票务预约平台存在被滥用痕迹。经查,系“ 黄牛 ” 团伙利用平台的验证码组件缺陷,实施非法抢票行为。广西桂林公安网安部门 通过调查
继续阅读DataCon2024解题报告WriteUp—漏洞分析赛道 0817iotg战队 DataCon大数据安全分析竞赛 2025-01-18 03:30 2024年11月28日,DataCon2024大数据安全分析竞赛落下帷幕。比赛共吸引706支战队、1556人报名参与。在历经多日的激烈角逐后,最终诞生了五大赛道的冠军、亚军和季军。来自武汉大学的“0817iotg”战队荣获漏洞分析赛道冠军,本期为大
继续阅读2024年度人工智能相关重点安全漏洞盘点 原创 智能安全实验室 山石网科安全技术研究院 2025-01-18 02:02 一、CVE-2024-42479 漏洞概述 在 rpc_server::set_tensor 中存在一个“写入任意地址”的漏洞。该漏洞由 ggerganov 于 2024 年 8 月 12 日发布,编号为 GHSA-wcr5-566p-9cwj。受影响的版本为小于 b3561
继续阅读掌握现代红队基础设施第 3 部分 — 使用 DNS 记录和 OPSEC 绕过邮件安全网关保护邮件服务 hai dragon 安全狗的自我修养 2025-01-17 23:20 在“🔒掌握现代红队基础设施”系列的这一部分中,我们探讨了使用 SPF、DKIM 和 DMARC 等 DNS 记录为我们的域 online-notifications.net 域设置和保护邮件服务 ,同时实施强大的操作安全
继续阅读pikachu漏洞靶场通关手册(万字图文解析) 原创 BlankSec 泷羽Sec-Blanks 2025-01-17 15:25 pikachu漏洞靶场通关 靶场链接文末获取 – 一、密码爆破 – 1.1 基于表单的暴力破解 – 1.2 验证码绕过(on server) – 1.3 验证码绕过(on client) – 1.4 toke
继续阅读针对 Ivanti Connect Secure RCE 漏洞 (CVE-2025-0282) 发布 PoC 网安百色 2025-01-17 11:51 点击上方 蓝字 关注我们吧~ 已在 Ivanti Connect Secure 中发现一个严重的安全漏洞,编号为 CVE-2025-0282。此漏洞允许未经身份验证的远程攻击者执行任意代码。 截至 2025 年 1 月 8 日,Ivanti 已确
继续阅读CVE-2023-24860 拒绝服务攻击 relaysec Relay学安全 2025-01-17 09:11 欢迎加入我的知识星球,目前正在更新免杀相关的东西,129/永久,每100人加29,每周更新2-3篇上千字PDF文档。文档中会详细描述。目前已更新101+ PDF文档,《2025年了,人生中最好的投资就是投资自己!!!》 加好友备注(星球)!!! CVE-2024-24860这个漏洞是用
继续阅读27.悬于开发者和安全研究人员头顶的剑 | 一类漏洞让Visual Studio项目变得不再可信 梅苑安全 2025-01-17 07:51 1.从近期的Visual Studio相关项目投毒说起 在2024年10月,有境外APT组织在github上发布恶意Visual Studio代码,针对我国网络安全领域的研究者进行攻击,其具体时间线和更多细节可以参考微步在线研究响应中心的文章: https:
继续阅读快手7篇论文入选人工智能领域顶会AAAI 2025 原创 学术合作 快手技术 2025-01-17 03:45 近日,国际人工智能顶级会议AAAI 2025公布论文接收结果,快手共有7篇论文被收录。AAAI(AAAI Conference on Artificial Intelligence)是由国际人工智能促进协会主办的学术盛会,也是中国计算机学会(CCF)推荐的A类国际学术会议。AAAI 20
继续阅读【工具分享】一个综合性比较强的java漏洞集合工具(集成多种实用小工具) pureqh 篝火信安 2025-01-17 02:00 简介 该工具参考多个开源项目,取长补短,捏合成的一个综合性比较强的Java漏洞利用工具集,该工具集成常见Java漏洞检测以及多种实用小工具;运行jar即可使用,采用图形化界面,简明易操作。 该工具有效解决了攻防的时候,需要打开切换多个jar包,操作不方便的问题。 特点
继续阅读某小说vip破解代码分析 1708124866250085 神农Sec 2025-01-17 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://xz.aliyun.com/t/17006 作者:1708124866250085 代码分析如下 首先jadx打
继续阅读SimpleIAST- 基于污点追踪的灰盒漏洞扫描工具。 keven1z 夜组安全 2025-01-17 00:01 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所有工具安全性自测!!!VX: baobeiaini_ya
继续阅读2025最新Invicti-Professional-V25.1 WEB漏洞扫描器更新|近期漏洞合集更新 原创 城北 渗透安全HackTwo 2025-01-16 16:00 前言 内部星球近期漏洞验真合集更新|漏洞威胁情报更新 Invicti 专业 Web 应用程序安全扫描器 自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。
继续阅读【已复现】Fortinet FortiOS/FortiProxy 认证绕过漏洞(CVE-2024-55591) 长亭安全应急响应中心 2025-01-16 14:13 FortiOS 是 Fortinet 公司核心的网络安全操作系统,广泛应用于 FortiGate 下一代防火墙,为用户提供防火墙、VPN、入侵防御、应用控制等多种安全功能。FortiProxy 则是 Fortinet 提供的企业级安
继续阅读【安全圈】Fortinet 又被确认存在新的零日漏洞 安全圈 2025-01-16 11:01 关键词 零日漏洞 周二,Fortinet 发布了十几份新公告,描述了最近在该公司产品中发现的严重和高严重性漏洞,包括一个至少自 2024 年 11 月以来就被广泛利用的零日漏洞。 该零日漏洞编号为CVE-2024-55591,Fortinet 将其描述为影响 FortiOS 和 FortiProxy
继续阅读SimpleHelp 多个严重漏洞可导致文件窃取、提权和RCE攻击 THN 代码卫士 2025-01-16 10:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全研究人员披露了位于 SimpleHelp 远程访问软件中的多个漏洞,可导致信息暴露、提权和远程代码执行等后果。 Horizon3.ai公司的研究员 Naveen Sunkavally 发布技术报告提到,“这些漏洞易于逆
继续阅读【漏洞通告】FortiOS and FortiProxy身份验证绕过漏洞安全风险通告 嘉诚安全 2025-01-16 07:28 漏洞背景 近日,嘉诚安全监测到Fortinet官方发布安全公告,确认其下一代防火墙产品FortiGate(FortiOS)和代理产品 FortiProxy中存在一个高危的认证绕过漏洞,漏洞编号为: CVE-2024-55591。 FortiOS是Fortinet公司核心
继续阅读Rsync修复数个高危漏洞,两个RCE需要重点关注 原创 微步情报局 微步在线研究响应中心 2025-01-16 04:25 漏洞概况 Rsync 是一个强大的、快速的、通用的文件同步工具。它可以实现本地或远程主机之间的文件和目录同步,并且在传输过程中只同步差异部分,大大节省了带宽和时间。它是一个命令行工具,通常用于备份、镜像、数据迁移等场景。 微步情报局监控到Rsync官方修复了6个漏洞,其中:
继续阅读Atropos:对Web应用程序服务器端漏洞的模糊测试技术 原创 FuzzWiki FuzzWiki 2025-01-16 03:35 基本信息 原文名称: Atropos: Effective Fuzzing of Web Applications for Server-Side Vulnerabilities 原文作者:Emre Güler; Sergej Schumilo; Moritz
继续阅读